آموزش های عمومیامنیتبخش وردپرسعمومیوردپرس

حفره امنیتی خطرناک

حفره امنیتی خطرناک
حفره امنیتی خطرناک
حفره امنیتی خطرناک
حفره امنیتی خطرناک
حفره امنیتی خطرناک

نوشته : alireza crs

با سلام،
طی چند ماه اخیر شاهد نفوذ به سیستم های مدیریت محتوای Wordpress بودیم که hacker بدون داشتن رمز عبور مدیریت با ارسال درخواست های خاصی با متود POST به wp-admin قادر به دور زدن رمز عبور ( bypass ) و ورود به بخش مدیریت بوده و پس از آن به کل سیستم مدیریت محتوا و همچنین هاست دسترسی خواهد داشت
این حفره امنیتی خطرناک که در آخرین نسخه‌های wordpress نیز وجود دارد، هنوز به طور رسمی منتشر نشده و به شکل private می‌باشد و به همین دلیل wordpress هنوز patch و securirty fix رسمی جهت رفع این نقیصه ارائه نکرده
با توجه به اینکه این ضعف امنیتی می‌تواند منجر به دسترسی کامل hacker به کل هاست و سایت شود، جهت جلوگیری از هرگونه نفوذ و سوء استفاده اکیداً توصیه میشود از طریق cPanel بخش Password Protection حتماً روی مسیر wp-admin کلیه نسخه‌های wordpress خود یک رمز ثانویه قرار دهید، در این صورت hacker بدون داشتن آن رمز قادر به ارسال درخواست به wp-admin و نفوذ نخواهد بود

اینو از یه سایت که که اینو برای اولین بار گذاشت برداشت کردم که تاریخش به 22 خرداد امسال برمی گشت

دوستای من چند تا هک شدگی داشتند که من فکر میکنم مربوط باشه

دوستان من متخصص وردپرس نیستم ایا به نظر شما این درست یانه؟

نوشته : MohammadHossein

سلام

من این خبر رو هیچوقت از یک منبع معتبر خارجی یا داخلی ندیدم

بعد از این خبر هم فکر کنم وردپرس سه یا 4 بار آپدیت شده و اگر هم بوده در نسخه های جدید پچ شده

در هر صورت شما برای اطمینان میتونید یه رمز دوم برای فایل wp-admin از طریق هاست بزارید

نوشته : Black Sky

البته این دوستمون هم صحیح میگویند اما همان طور که خودتون گفتید مال خرداد ماه است

خوب اما این این بروز رسانی ها کاملا باگ ها برطرف شده اما فقط 2 یا 3 تا مانده که کار هر کسی نیست

که بهترین راه هم همان قرار دادن رمز دوم بر روی wp-admin هست که دوستمون گفتند که این کار فقط با هاست انجام میشود

نوشته : مرتضی نظری

اما این این بروز رسانی ها کاملا باگ ها برطرف شده اما فقط 2 یا 3 تا مانده که کار هر کسی نیست

شما از کجا میدونید فقط 2-3 تا باگ باقی مونده؟خب اگه باگ هاشو میدونید برید به وردپرس دات ارگ خبر بدین تا پچش کنند دیگه؟

نوشته : Black Sky

من قصد جسارت به مدیران ندارم

من ئر سایت زیر مطالعه کرئم و یه صری هم گذاشته بود

لینک

نوشته : MohammadHossein

من قصد جسارت به مدیران ندارم
من ئر سایت زیر مطالعه کرئم و یه صری هم گذاشته بود
لینک

دوست عزیز باگ انتشار یافته از افزونه های وردپرس خیلی خیلی زیاده،همین دیروز یه باگ جدید از یکسری افزونه مثل wp-imagezon پیدا کردم که با اون میشه فایل کانفیگ رو خوند ماا این دلیل نمیشه که وردپرس مشکلی داشته باشه،وردپرس کلا باگ منتشر شده نداره و اگر هم داشته باشه منتشر نشده و زیاد هم نیست

نوشته : عبدالماجد

بعضی وقتا از شنیدن حفره امنیتی یا باگ امنیتی مو به تن بعضیا سیخ میشه

به این نکات دقت کنید :

90 درصد اوقات یک باگ امنیتی به این سادگی ها پیدا نمیشه و حتما یک نفر یا یک گروه مدتها روی برنامه ای کار میکنند تا یک باگ با درجات امنیتی مختلف (زیاد متوسط یا کم ) پیدا میکنند و بعد از پیدا کردن باگ به این راحتی اونو منتشر نمیکنند بلکه اول خودشون استفاده ی کافی رو میبرن و بعد از یه مدت اون باگ رو منتشر میکنن که اکثر اوقات قبل از انتشار رسمی، نسخه ی جدید برنامه ی مورد دار که پچ شده منتشر میشه و در اینصورت کاربران به روز از شر اون باگ در امان خواهند بود ولی اگه قبل از پچ شدن باگ هم اون حفره منتشر بشه مطمئن باشید به زودی پچ میشه و کاربران میتونند به روز رسانی رو انجام بدن و خیالشون راحت باشه.

اینو در نظر داشته باشید : امنیت صد در صد در دنیای مجازی خیال و توهمی بیش نیست !

پس خودتون هم باید دست به کار بشید و یک سری فیلتر های اضافی برای سایت در نظر بگیرید تا در صورت وجود باگ ، خیالتون راحت باشه .

نوشته : alireza crs

شما میگید که باید روی پوشه wp-admin رمز بذاریم.در حالی که با این که باید رمز رو با کاربرانی که عضو سایت هستند بدیم یا عضو گیری رو متوقف کنیم

نوشته : Morteza

برای افزایش امنیت کارهای خاصی میشه انجام داد.

ولی برای امنیت پشوه wp-admin همیشه مشکلاتی وجود داشته

نوشته : alireza crs

مشکلی که هست اینه که اگه روی پوشه wp-admin رمز بذاریم باید رمزو به کاربران عضو سایت هم بدیم تا بتونن وارد سایت بشن و این یعنی اینکه رمزو به هکر ها هم بدیم یا اینکه باید عضو گیری رو متوقف کنیم

راه حل دیگه ای نیست؟

نوشته : rezaonline

من توی جریان اون باگ نیستم دقیق اما شما یه افزونه کپچا برای قسمت لاگین بذار تا فعلاً از کرک کردن پسورد جلوگیری بشه ، به توجه به اینکه عضو گیری هم داری پس لازمه .

برای رمز گذاشتن هم روی پوشه wp-admin ، من یکی نذاشتم ، یه شیر یا خط بنداز ببین چی میاد ;)

نوشته : imanfakhar

مشکلی که هست اینه که اگه روی پوشه wp-admin رمز بذاریم باید رمزو به کاربران عضو سایت هم بدیم تا بتونن وارد سایت بشن و این یعنی اینکه رمزو به هکر ها هم بدیم یا اینکه باید عضو گیری رو متوقف کنیم
راه حل دیگه ای نیست؟

می تونید اگر سایت ارزشمندی دارید کمی هزینه کنید و بخشی محدود را برای کاربری بسازید که کاربران با ادمین کاری نداشته باشند حتی بخش ارسال مطلب رو هم می شه آورد بیرون ومحدودش کرد به textonly

اما اینکارها وقتی لازمه که برای مدیر سایت بصرفه ولی اگر برای مدیر نصرفید می شه یه نتیجه ی دیگه هم گرفت پس برای هکر ها هم نمی صرفه

کسانی که وقت و انرزیشون رو برای هک می گذارند به دنبال تصاحب چیز های با ارزشند نه اسیب رسوندن به ما

نوشته : rezaonline

اگر برای مدیر نصرفید می شه یه نتیجه ی دیگه هم گرفت پس برای هکر ها هم نمی صرفه

اینو باید با آب طلا نوشت !

نوشته : alireza crs

می تونید اگر سایت ارزشمندی دارید کمی هزینه کنید و بخشی محدود را برای کاربری بسازید که کاربران با ادمین کاری نداشته باشند حتی بخش ارسال مطلب رو هم می شه آورد بیرون ومحدودش کرد به textonly
اما اینکارها وقتی لازمه که برای مدیر سایت بصرفه ولی اگر برای مدیر نصرفید می شه یه نتیجه ی دیگه هم گرفت پس برای هکر ها هم نمی صرفه
کسانی که وقت و انرزیشون رو برای هک می گذارند به دنبال تصاحب چیز های با ارزشند نه اسیب رسوندن به ما

منظور شما رو نفهمیدم.یعنی کاری که وقتی عضو گیری میکردیم کاربران انجام میدادند بدون عضو گیری انجام دهند؟

خوب اینجور که خیلی بد میشه.مثلاهر کس و بی کسی هرچه قدر خواست مطلب ارسال کنه و من نتونم جلوشو بگیرم.یا نتونم ادامه مطلب رو برای اعضا نشون بدم

من پیشنهاد میکنم که یه پوشه جدا طراحی کنیم(مثل user)بعد هر کاربر عضوی رو اونجا ثبت کنیم به جز مدیر.همچنین هرکی خواست لاگین کنه باید اطلاعاتش یا تو پوشه wp-admin باشه یا پوشه جدید

بعد باید یه تغیراتی بدیم که هرکی عضو میشه اطلاعاتش تو پوشه جدید ثبت شه و مدیر هم تو پوشه قبلی موجود هست.فکر کنم بشه با تغییر موتور یا هسته وردپرس اینکارو کرد البته باید خیلی حرفه ای باشیم

نوشته : Saeed Fard

درود ;

اصلا تاپیک رو دنبال نکردم و نمیدونم بحث سر چی هستش .. ولی در مورد پست اول و این باگی که میگید قبلا صحبت شده بود و من در اینجا گفتم که اصلا چنین چیزی وجود نداره ..

موفق باشید ../.

نوشته : rezaonline

جناب علیرضا ظاهراً شما با نحوه مدیریت محتوا در وردپرس آشنا نیستید .

اطلاعات در دیتابیس ذخیره میشوند نه در دایرکتوری ها !

نوشته : Black Sky

داداش من شما اگه رمز دوم روی ادمین بگذارید دیگه نباید به کسی بدید این فقط یه محافظ ساده هست

فقط باید به ادمین ها بدی

لینک زیر هم کار آمد هست ببین

لینک

نوشته : مرتضی نظری

سلام

منظور شما رو نفهمیدم.یعنی کاری که وقتی عضو گیری میکردیم کاربران انجام میدادند بدون عضو گیری انجام دهند؟

نه منظور آقای فخار عزیز،این نبود،بلکه این بود که کاری بشه که کاربران نیاز به پوشه ادمین نداشته باشند.ببینید از اونجایی که کاربران از wp-login.php استفاده میکنند برای وردود.پس بنابر این اگه کاربران و نویسنده های معمولی به wp-admin دسترسی نداشته باشند بلکه یک پنل دیگری که محدود تر هست و کارهای زیادی نمیشه توش انجام داد اکتفا بشه.خیلی بهتره.البته بستگی به سطح دسترسی اون کاربر باید داشته باشه و داره…با این وجود میشه روی پوشه مدیریت رمز دوم هم گزاشت که کاربران نیازی به اون نداشته باشند…

این کار شدنی هست.مثلا تو پوسته p2 که از کمپانی اتوماتیک ارائه شده،کاربری که وارد سایت شده میتونه از داخل خود سایت مطلب بنویسه(دقیقا مثل شبکه های اجتماعی)

البته شبکه های اجتماعی هم مثال مناسبی هستند.چون بخش مدیریت خود کاربر با مدیریت ناظمین و بخش مدیریت مدیران کاملا فرق داره و از هم جداست… توی این طرح هم دقیقا اینچنین هست.یعنی هرکسی یک پنل خواصی داره که بستگی به سطح دسترسی خودش بهش امکانات داده میشه…

البته بازم حرف آقا ایمیان رو تکرار میکنم.که فرمودند چنین کارهایی رو معمولا کسانی انجام میدهند که سایت هاشون خیلی ارزشمند باشه تا هکر وسوسه بشه…وگرنه کی میاد تا وبلاگ شخصیی منو هک کنه؟ اصلا هک کنه چی گیرش میاد؟

نوشته : imanfakhar

منظور شما رو نفهمیدم.یعنی کاری که وقتی عضو گیری میکردیم کاربران انجام میدادند بدون عضو گیری انجام دهند؟
خوب اینجور که خیلی بد میشه.مثلاهر کس و بی کسی هرچه قدر خواست مطلب ارسال کنه و من نتونم جلوشو بگیرم.یا نتونم ادامه مطلب رو برای اعضا نشون بدم
من پیشنهاد میکنم که یه پوشه جدا طراحی کنیم(مثل user)بعد هر کاربر عضوی رو اونجا ثبت کنیم به جز مدیر.همچنین هرکی خواست لاگین کنه باید اطلاعاتش یا تو پوشه wp-admin باشه یا پوشه جدید
بعد باید یه تغیراتی بدیم که هرکی عضو میشه اطلاعاتش تو پوشه جدید ثبت شه و مدیر هم تو پوشه قبلی موجود هست.فکر کنم بشه با تغییر موتور یا هسته وردپرس اینکارو کرد البته باید خیلی حرفه ای باشیم

این پیشنهاد شما همون چیزیه که عرض کردم اگر براتون بصرفه می تونید با هزینه کردن ایجادش کنید

نوشته : arman100000

کلا زیاد نگران هک نباشید هکر ها معمولا سراغ سایت های بزرگ میرن تا سایت های عادی …

حتی با این احتمال کم اگر روزی سایت شما هک شود به جرئت میگم 99.9% مشکل از هاست هست نه وردپرس !!!

پس اگر سایت پر منفعتی دارید بر روی یک هاست خوب میزبانی کنید (با بکاپ) و خیالتان راحت باشد !!!

با برنامه havij (اگه اشتباه نکنم :دی) سایتتون رو اسکن کنید تا از ضعف های اون با خبر بشید !!!


(1) حفره امنیتی خطرناک در اینستاگرام
حفره امنیتی خطرناک در اینستاگرام شناسایی شد - وبلاگ سامانه مراقبت از خانواده


(2) کشف حفره های امنیتی خطرناک در زوم برای
کشف حفره های امنیتی خطرناک در زوم برای همه رایانه ها - خبرگزاری مهر اخبار ایران و جهان Mehr News Agency


(3) حفره امنیتی بسیار خطرناک در کرنل لینوکس
حفره امنیتی بسیار خطرناک در کرنل لینوکس CVE-2016-0728 - پارسپک


(4) کشف یک حفره امنیتی خطرناک در اینترنت
کشف یک حفره امنیتی خطرناک در اینترنت اکسپلورر امنیت در فضای مجازی DW 28.04.2014


(5) شناسایی حفره خطرناک تازه در اپلیکیشن
شناسایی حفره خطرناک تازه در اپلیکیشن زوم کارشناسان امنیت - آمد خبر


(6) کشف حفره امنیتی به شدت خطرناک جدید در
کشف حفره امنیتی به شدت خطرناک جدید در پردازندههای اینتل این بار SWAPGS


(7) کشف یک حفره امنیتی خطرناک در اینستاگرام
کشف یک حفره امنیتی خطرناک در اینستاگرام که میتوانست گوشی هوشمند کاربر را به ابزار جاسوسی


(8) شناسایی حفره امنیتی خطرناک در فایرفاکس
شناسایی حفره امنیتی خطرناک در فایرفاکس


(9) کشف حفره امنیتی خطرناک در اپلیکیشن Mail
کشف حفره امنیتی خطرناک در اپلیکیشن Mail آیفون دیجیکالا مگ


(10) حفره امنیتی خطرناک در اپل
حفره امنیتی خطرناک در اپل

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

1 × 3 =

دکمه بازگشت به بالا